Le GDPR, ses contraintes et ses opportunités … Présentation MED IT Le GDPR, ses contraintes et ses opportunités … Mercredi 29 novembre 2017 Version 1.0
Le GDPR, contraintes et opportunités Agenda GDPR en 3 slides Pourquoi prendre ce sujet rapidement ? Adopter une démarche pragmatique et outillée Les clés pour échouer … Le GDPR, contraintes et opportunités
Oui … et en quoi cela vous concerne ? Le GDPR, ses contraintes et ses opportunités … Oui … et en quoi cela vous concerne ? Vous avez une entité Européenne ? La pénalité en cas de non respect peut aller jusqu’à 4% de votre CA mondial Vous avez des clients Européens, qui vous confient des DCP ? Vos clients vous contraignent contractuellement, Faute de quoi, vous perdrez vos marchés … Vous êtes censés appliquer les « bonnes pratiques » Le GDPR, contraintes et opportunités
Le GDPR, ses contraintes et ses opportunités … De la nécessité d’un règlement européen de protection des données personnelles Droits des personnes concernées limités et peu respectés Explosion du volume et de la précision des données personnelles Fuites massives de données personnelles Moyens limités des régulateurs locaux / besoin de décentraliser & responsabiliser Faible application des cadres légaux / peu de sanctions Explosion Cloud et Saas / nécessité de cadrer les prestataires & tiers Le GDPR, contraintes et opportunités
La protection des données en Europe c’est quoi? Le GDPR, ses contraintes et ses opportunités … La protection des données en Europe c’est quoi? AVANT LE 25 MAI 2018 29 lois nationales de protection des données personnelles Des directives émise par la commission Européenne et des interprétations dans chaque pays 29 autorités de contrôle et des délégués à la protection des données En France, des déclarations et des autorisations auprès de l’autorité de contrôle GDPR APRÈS LE 25 MAI 2018 Une même loi applicable de la même façon dans les 29 pays européens Des spécificités nationales demeurent et basées sur le règlement européen Une seule autorité de contrôle et un seul délégué à la protection des données Des analyses d’impact sur la vie privée Le GDPR, contraintes et opportunités
Le GDPR, ses contraintes et ses opportunités … Le GDPR vient renforcer certaines obligations déjà existantes et en créer de nouvelles gouvernance Data Privacy Program Organisation dédiée Communication traitements et conformité Inventaire et registre Suivi et contrôles Audit collecte, protection et conservation des dcp Consentement Information Protection droit des personnes concernées Accès et rectification Droit à l’oubli / à la limitation Droit à la portabilité gestion des projets Accountability Etude d’impacts Privacy by design relations avec les tiers Responsabilité du sous-traitant Obligations du sous-traitant Contrôle du sous-traitant identification et notification des violations Identification / détection Notification Traitement de la violation Nouveau avec le GDPR Renfort avec le GDPR Le GDPR, contraintes et opportunités
Et concrètement, si je prends mon temps … Le GDPR, ses contraintes et ses opportunités … Et concrètement, si je prends mon temps … 1. Sanctions Pénalités pouvant aller jusqu’à 4% du CA mondial Impacts opérationnels : Obligation du sous-traitant de prévenir le responsable de traitement Notification à l’autorité de contrôle dans les 72 heures Documentation de la violation Si la violation entraîne un risque important pour la personne concernée, obligation de la prévenir dans les plus brefs délais … 2. Perte de business Vos clients Européens ne peuvent plus maintenir vos contrats si vous n’y intégrez pas : Détails sur le traitement lui-même (finalité, objet et durée du traitement, etc.) Mise à disposition de toute information prouvant le respect des obligations Accord de réalisation & contributions à des audits du responsable du traitement ou d’un tiers mandaté Notification immédiate du Responsable du traitement en cas de violation du GDPR (art. 28-3 h du GDPR) Engagement renforcés en cas de sous-traitant secondaire 3. Altération de mon image … Le GDPR, contraintes et opportunités
Adopter une démarche pragmatique et outillée … Le GDPR, ses contraintes et ses opportunités … Adopter une démarche pragmatique et outillée … Evaluation générale de la maturité Cartographie Fiche détaillée de traitement Registre des traitements Analyse de conformité par traitement Alignement Privacy dans les projets 2 – 6 semaines 5 - 20 j/h Outillage Disponibilité Sponsor 1 – 3 mois 10 - 40 j/h Granularité Ne pas confondre finalité – traitement – application … 1 – 3 mois 2j par traitement Granularité (10 à 80 traitements) Ne pas confondre finalité – traitement – application … 6 à 12 mois Charges très variables … Quelques chantiers complexes : chiffrement, anonymisation, oubli, … 1 mois 10 – 20 j/h PIA simple Change Mgt Mode Agile Le GDPR, contraintes et opportunités
Le GDPR, contraintes et opportunités Le GDPR, ses contraintes et ses opportunités … Les clés pour échouer … Ne pas impliquer activement tous les métiers concernés (DG – Directions métiers – Direction Juridique – DSI – RSSI – Conformité …) Ne pas obtenir leur adhésion, ne pas prendre de sponsor Ne pas identifier et débloquer de budget Avancer en solo Oublier l’éparpillement des données (défaut de maîtrise des risques ou de traçabilité, droit à l’oubli …) Ne pas y voir un projet d’architecture (d’entreprise ou de DSI, en commençant par un inventaire …) Ne pas responsabiliser (les propriétaires de données / traitement / CDO / DPO / …) Ne pas y voir une opportunité Ne pas s‘appuyer sur des outils éprouvés Passer du temps sur les procédures Ne pas trancher sur les points structurants et décisionnels … Prendre son temps Le GDPR, contraintes et opportunités
Hervé MORIZOT, Directeur Associé herve.morizot@formind.fr 06 70 45 77 58 Grégory DEMULE, Directeur Commercial gregory.demule@formind.fr 07 86 28 95 17